WO 2005/006705 PCT/EP2004/007594 

tffX^mi?lQ 09 JAN 2006 

1 

Beschreibung 

Vorrichtung und Koppelgerat, so genannter Secure-Switch, zur 
Sicherung eines Datenzugrif f es 

5 

Die Erfindung betrifft eine Vorrichtung und ein Koppelgerat , 
einen so genannten Secure-Switch, zur Sicherung eines Daten- 
zugriffes eines ersten Teilnehmers oder mehrerer Teilnehmer, 
die in einem ersten Teilnetz eines Automatisierungsnetzes 
10 angeordnet sind, auf einen zweiten Teilnehmer oder mehrere 
Teilnehmer, die in einem zweiten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind. 

Teilnehmer konnen beispielsweise Server, Programmiergerate, 

15 Bedien- und Beobachtungstationen, Servicegerate zur Wartung 
oder Diagnose, Automatisierungsgerate, dezentrale Peripherie 
oder Feldgerate sein, z. B, Messumformer oder Stellglieder, 
die in einem gemeinsamen Automatisierungsnetz zur Ubertragung 
von Daten miteinander verbunden sind. Sie sind Bestandteile 

20 eines Automatisierungssystems, das zur Oberwachung eines 

technischen Prozesses, z. B. eines Fertigungsprozesses, ein- 
gesetzt wird und an sich bekannt ist. Derartige Automatisie- 
rungsnetze wurden bisher hierarchisch in mehrere Ebenen ein- 
geteilt, z. B. Prozess-, Automatisierungs- und zentrale Leit- 

25 ebene. Dabei wurden Komponenten der jeweiligen Ebene tiber 

eine Datenubertragungseinheit, ein so genanntes Gateway, mit- 
einander verbunden. Automatisierungs komponenten der Prozess- 
ebene und/oder der Automatisierungsebene wurden horizontal 
mittels eines so genannten Feldbus systems und zur nachst 

30 hoheren Ebene, z. B. zur zentralen Leit- oder Steuerebene, 
vertikal mittels eines Ethernet-Bussystems miteinander ver- 
bunden. Feldbusse sind speziell auf die Erf ordernisse der 
Automatisierungstechnik ausgerichtet . Kommunikationsmedien ' 
und Protokolle fur Feldbusse sind in der Burowelt in der 

35 Regel nicht verbreitet. Da Zugriffe von der zentralen Leit- 
und Steuerebene auf die Automatisierungs- oder Feldebene nur 
uber Gateways moglich waren, wurden Hackerangrif f e auf die 
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unteren Ebenen des Automatisierungsnetzes erschwert. Zu- 
nehmend erfolgt heute die horizontale Verbindung der Automa- 
tisierungskomponenten einer Ebene ebenfalls mittels eines 
Ethernet-Bussystems . Mit der zunehmenden Verbreitung von 
5 Ethernet auch auf den unteren Ebenen eines Automatisierungs- 
netzes wachsen die verschiedenen Ebenen enger zusammen und 
spezielle Gateways sind aus rein kommunikationstechnischer 
Sicht nicht langer notwendig. Damit sind Hackerangrif f e auch 
auf die unteren Ebenen eines Automatisierungsnetzes leichter 
10 moglich. 

Ein weiterer Trend ist die zunehmende Verschmelzung von Biiro- 
und Produktionsnetzen, die als Teilbereiche eines Automati- 
sierungsnetzes angesehen werden konnen. Daraus ergeben sich 

15 insbesondere aus sicherheitstechnischer Sicht neue Probleme. 
Ober das Buronetz in das Produktionsnetz eingetragene Sto- 
rungen der Automatisierungsgerate konnen den Produktionsbe- 
trieb unter Umstanden empfindlich storen oder beeintrachti- 
gen. Die damit verbundenen Risiken, z. B. Produktionsausf alle 

20 bis hin zu Gefahren fur Menschenleben, sind oft deutlich ho- 
her als bei Storungen, die auf ein Buronetz begrenzt sind. 
Storungen des Produktionsnetzes vom Buronetz aus konnen bei- 
spielsweise hervorgeruf en werden durch Fehlbedienungen, z. B. 
wegen Angabe falscher IP-Adressen, Viren, Trojaner oder Wur- 

25 mer, die versuchen, sich uber Personal Computer des Buronet- 
zes im Netzwerk auszubreiten, und die dabei unter Umstanden 
auch den Bereich des Produktionsnetzes erreichen, weiterhin 
durch Mitarbeiter f die beispielsweise TCP/IP-Netzwerk-Tools 
ausprobieren oder durch Angriffe von Mitarbeitern innerhalb 

30 der automatisierungstechnischen Anlage, die, wenn sie passi- 
ver Natur sind, als Spionage und, wenn sie aktiver Natur 
sind, als Sabotage bezeichnet werden konnen. Es ist daher 
erforderlich, bestimmte Teile des Automatisierungsnetzes vor 
unerlaubten Zugriffen zu schiitzen. 

35 

Aus der DE 101 24 800 Al ist es bekannt, funktions- und/oder 
geraterelevante Daten zwischen verschiedenen Geraten eines 
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Prozessautomatisierungssystems zumindest zum Teil ver- 
schlusselt auszutauschen. Dadurch soil eine flexible und zu- 
gleich sichere Handhabung ausgewahlter wichtiger Daten des 
Prozessautomatisierungssystems ermoglicht werden. Die Ver- 
5 schlusselung wird direkt in den Endgeraten vorgenommen. Dies 
erfordert eine grofcere Leistungsf ahigkeit aller Endgerate, 
die an einer verschliisselten Datenubertragung beteiligt sind. 

Auf der Internetseite unter der Adresse 
10 www. thought, net/ jason/bridgepaper/node9 . html wurde am 

01.04.2003 ein Kapitel "bridging and IPsec" der Offentlich- 
keit zuganglich gemacht. Es wird eine Bridge beschrieben f die 
urn IPsec-Fahigkeiten erweitert ist. Auf einer Seite der Brid- 
ge eingehende Nachrichten im Ethernet-Format werden entspre- 
15 chend dem IPsec-Protokoll, das auf Layer 3 des ISO-OSI 7- 
Schichten-Modells angesiedelt ist, verschlusselt auf der 
anderen Seite der Bridge ausgegeben und konnen so geschutzt 
vor Zugriffen uber einen unsicheren Netzwerkabschnitt uber- 
tragen werden. Eine Anwendung auf Automatisierungsnetze ist 
20 nicht beschrieben. 

Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung 
und ein Koppelgerat zur Sicherung eines Datenzugrif f s eines 
ersten Teilnehmers oder mehrerer Teilnehmer, die in einem 
25 ersten Teilnetz eines Automatisierungsnetzes angeordnet sind, 
auf einen zweiten Teilnehmer oder mehrere Teilnehmer, die in 
einem zweiten Teilnetz des Automatisierungsnetzes angeordnet 
sind r zu schaffen, die sich durch einen besonders geringen 
Auf wand auszeichnen. 

30 

Zur Losung dieser Aufgabe weist eine Vorrichtung der eingangs 
genannten Art die in Anspruch 1 angegebenen Merkmale bzw. ein 
Koppelgerat die in Anspruch 9 angegebenen Merkmale auf. In 
den abhangigen Anspriichen sind vorteilhafte Weiterbildungen 
35 der Erfindung beschrieben. 
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Unter dern Begriff "Tunnel" wird im Zusammenhang dieser Erfin- 
dung eine Verbindung zwischen zwei oder mehr Teilnehmern des 
Automatisierungsnetzes verstanden, die bezuglich Authentizi- 
tat, Integritat und/oder Vertraulichkeit eine in vorteilhaf- 
5 ter Weise sichere Datenubertragung gewahrleistet . Durch den 
Tunnel werden die gesamten Telegrammdaten, also Nutzdaten und 
Header-Informationen eines Telegramms, gesichert iibertragen. 
Zum Aufbau eines Tunnels sind gemeinsame Geheimnisse (Shared 
Secrets) notwendig. Wird der Tunnel zwischen zwei Partnern 

10 aufgebaut, so mussen beide Partner das gleiche Shared Secret 
oder ein zueinander passendes Public/Private-Key-Paar besit- 
zen. Soil der Tunnel auf mehr als zwei Partner (globaler Tun- 
nel) ausgedehnt werden, so mussen beispielsweise Shared Keys 
auf aide beteiligten Teilnehmer verteilt werden. Im Falle der 

15 Verwendung von Public/Private-Keys mussen bei mehr als zwei 
Partnern alle Partner untereinander derartige Schlusselpaare 
besitzen. Bei der Ver- oder Entschlusselung von Daten muss 
das jeweils fur den aktuellen Partner geltende Schlusselpaar 
herangezogen werden. Die Verwendung von Public/Private-Key- 

20 Paaren ist allerdings besonders in grofleren Systemen eher 

kompliziert und aufwendig. Im Falle eines Shared Secrets ist 
das Verfahren einfach, da alle Teilnehmer den gleichen 
Schlussel besitzen, der fur alle Teilnehmer verwendbar ist. 

25 Die Erfindung erlaubt neben der Entkopplung von Buronetz und 
Produktionsnetz zudem einen aufwandsarmen Schutz von Teilnet- 
zen, z. B. Automatisierungszellen, innerhalb des Produktions- 
netzes. Dadurch sind unbeabsichtigte Wechselwirkungen, wie 
sie z. B. in einer Inbetriebnahmephase von Teilabschnitten 

30 auftreten konnen, vermeidbar. Mogliche interne Angreifer, die 
Zugang zum Produktionsnetz bekommen, z. B. Mitarbeiter von 
Montagef irmen, werden in ihren Moglichkeiten zur Stc3rung des 
Automatisierungssystems deutlich eingeschrankt . 

35 Die Realisierung eines Tunnelendpunktes erfolgt in einem 
Switch mit Software und/oder Hardwaremodulen. Dieser iiber- 
nimmt eine Stellvertreterfunktion fur Gerate, die nicht 
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selbst in der Lage sind, einen Tunnelendpunkt zu realisieren. 
Damit ist die Vorrichtung zur Sicherung eines Datenzugrif f s 
in vorteilhafter Weise rtickwirkungsf rei in bereits bestehen- 
den Automatisierungsnetzen anwendbar. Ruckwirkungsf rei be- 
5 deutet in diesem Zusammenhang, dass die 'Teilnehmer des beste- 
henden Netzwerks nicht bezuglich ihrer Adressierung, des 
jeweiligen Subnet zes oder ihrer Parametrierung geandert wer- 
den mussen. Dazu erfolgt die Zuordnung des Tunnels zum je- 
weiligen Teilnehmer in vorteilhafterweise anhand der jewei- 

10 ligen Teilnehmeradresse, das heiftt anhand der Adresse des 

bzw. der Teilnehmer, fur den bzw. die der Tunnel stellvertre- 
tend durch die Vorrichtung aufgebaut wird. Vorzugsweise wird 
als Teilnehmeradresse eine IP-Adresse verwendet. Alternativ 
kann hierzu die Ethernet-MAC -Adresse verwendet werden. Die 

15 Entscheidung, welcher Tunnel bei einer gewunschten Datemiber- 
tragung zu verwenden ist, wird also anhand der Adressen der 
beteiligten Endgerate vorgenommen. Bei IP-fahigen Teilnehmern 
kann das die IP-Adresse sein, bei Geraten, die uber Ebene-2- 
Protokolle kommunizieren, die MAC-Adresse. Die fur den Tun- 

20 nelaufbau erf orderlichen Ressourcen werden nur im vorgeschal- 
teten Switch benotigt, so dass die dahinter befindlichen 
Teilnehmer oder Teilnetze mit geringeren Ressourcen auskom- 
men. Zudem kann in geschalteten Netzwerken, so genannten 
Switched Networks, ein ohnehin vorhandener Switch durch einen 

25 Secure-Switch zur Sicherung des Datenverkehrs ersetzt werden. 
Der Einsatz der Erfindung ist dann mit einem besonders gerin- 
gen Aufwand verbunden. 

Aufgrund der Verwendung eines Secure-Switches als Stell- 
30 vertreter fur einzelne Teilnehmer oder mehrere Teilnehmer, 

die sich in einem Teilnetz befinden, lasst sich die Vorrich- 
tung zur Sicherung eines Datenzugrif fs nachtr^glich in beste- 
hende Netzwerke integrieren, ohne dass hierzu grofiere Um- 
stellungen der Teilnehmerparametrierung erforderlich waren. 
35 Die Automatisierungsgerate, die unter Umstanden Altgerate 
sein konnen und iiber geringe Leistungsressourcen verfugen, 
konnen unverandert bleiben. Lediglich die Secure-Switches als 
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Stellvertreter mussen aufeinander abgestimmt werden. Neben 
dem Aspekt der Weiterverwendbarkeit der Altgerate kann diese 
Eigenschaft beispielsweise auch dann von Bedeutung sein, wenn 
die Parametrierung auf den Automatisierungsgeraten selbst 
5 nicht mehr verandert werden darf, z. B. weil sie von Prtif- 
stellen abgenommen wurden und Anderungen neue Prtifungen oder. 
Nachweise erfordern wurden. Durch den Secure-Switch als 
Stellvertreter werden die nachgeschalteten Teilnehmer vom 
unsicheren Netz getrennt. Sie konnen in der Regel Kommunika- 

10 tion von aufien iiber die Tunnel ohne Weiteres akzeptieren. Bei 
anderer Koinmunikation muss jedoch gepruft werden, ob sie fur 
die Teilnehmer zugelassen ist. Diese Prufung erfordert Re- 
ssourcen. Zudem konnen viele Broadcast-Telegramme oder zu- 
satzliche Belastungen beispielsweise aufgrund von UDP-Flood- 

15 ing-Angrif fen aus dem Buronetz zu erheblicher Last am Turi- 

nelendpunkt fiihren. Wird der Tunnel endpunkt im Secure-Switch 
als Stellvertreter realisiert, so fallt die Last bei diesem 
an. Die Ressourcen der nachgeschalteten Teilnehmer konnen im 
Automatisierungsnetz weiterhin vollstandig fur die automati- 

20 sierungstechnischen Funktionen genutzt werden. Wurde die Last 
bei diesen Teilnehmern bewaltigt werden mussen, konnten sie 
bei der Erfullung ihrer automatisierungstechnischen Funk- 
tionen beeintrachtigt werden und schlimmstenf alls ausf alien. 
Ohne Stellvertreter waren die Automatisierungsgerate als 

25 Netzwerkteilnehmer direkt am unsicheren Netz sichtbar und 
daher auch angreifbar. Bei Fehlern in der Implementierung 
eines auf den Teilnehmern selbst abgewickelten Tunnelproto- 
kolls konnten sie bei Angriffen in ihrer Funktion beeintrach- 
tigt werden. 

30 

Da die Verwendung sicherer Tunnel nicht nur einen Zugriffs- 
schutz sondern zudem einen Schutz der Daten vor Abhoren und 
Veranderung (Privacy, Integrity) gewahrleistet, kann die 
Obertragung der Daten beispielsweise zwischen zwei Secure- 
35 Switches iiber ein unsicheres Netz erfolgen. In diesem Bereich 
werden an die Sicherheit der Obertragungsmedien keine Securi- 
tyanforderungen gestellt. Paarweise Tunnel, das heifit Tunnel 
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zwischen zwei Teilnehmern, ermoglichen es, die einzelnen bi- 
lateralen Verbindungen bezuglich der Ubertragungssicherheit 
voneinander zu trennen. Ein globaler Tunnel , das heifit ein 
Tunnel mit mehr als zwei Endpunkten, kann gegemiber einem 
5 paarweisen Tunnel zum Sparen von Ressourcen beitragen, die 
gerade in AutomatisierungsgerSten oft begrenzt sind. Das 
Mischen paarweiser Tunnel und globaler Tunnel, das heiftt die 
gleichzeitige Existenz verschiedenartiger Tunnel, ermoglicht 
eine bessere Skalierung des Automatisierungsnetzes . Besonders 
10 wichtige Kommunikationsverbindungen werden iiber paarweise 

Tunnel, weniger kritische Verbindungen iiber einen gemeinsa- 
men, globalen Tunnel eingerichtet . 

Da in der Automatisierungstechnik im Unterschied zur Buro- 
15 technik Netzwerke projektiert werden, konnen bei geeigneter 
Auslegung eines Projektierungstools aus dieser Projektierung 
eine Reihe von Parametrier- und/oder Konf igurierdaten fur den 
Secure-Switch abgeleitet werden. Fur die Konf igurierung wer- 
den somit keine oder geringe IT-Kenntnisse eines Bedieners 
20 vorausgesetzt . Projektiert und/oder parametriert werden iib- 
licherweise die Gerate des Automatisierungssystems und ihre 
Netzwerkverbindungen. Die Projektierung der Kommunikations- 
verbindungen ist notig, damit eine Kommunikation zwischen den 
Geraten ermoglicht wird* Aus der Projektierung des Netzes und 
25 der Komraunikationsteilnehmer lassen sich beispielsweise als 
Information ableiten: 

- welches GerSt kommuniziert mit welchem anderen Gerat, 

- welche Protokolle werden bei der Kommunikation benutzt, 
30 - in welcher Richtung erfolgt die Kommunikation und/oder 

- uber welche gegebenenf alls alternativen Wege kann die 
Kommunikation ablaufen. 

Ein Projektierungstool kann so erweitert werden, dass auch 
35 die Sicherheitseinrichtungen und insbesondere der verwendete 
Secure-Switch projektiert werden. Wird der Secure-Switch in 
einer Verbindung zwischen zwei Teilnehmern platziert, so 
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lassen sich aus der Projektierung beispielsweise folgende 
Informationen zusatzlich ableiten: 

- welche Netze und/oder Gerate befinden sich hinter dem 
5 Secure-Switch, 

- welche Gerate hinter dem Secure-Switch kommunizieren mit 
welchen Geraten hinter einem zweiten Secure-Switch, 

- welche Gerate hinter dem Secure-Switch sind selbst in der 
Lage, sichere Tunnel aufzubauen, so dass der Secure-Switch 

10 verschlusselte Telegramme einfach weiterreichen kann. 

Aus solchen Informationen lassen sich fur die Parametrierung 
des Secure-Switches Informationen ableiten wie: 

- zwischen welchen Secure-Switches und/oder Teilnehmern sind 
15 sichere Tunnel aufzubauen und welcher Art sind diese Tun- 
nel verb indungen (z. B. Host zu Netz, Netz zu Netz, Host zu 
Host), 

zwischen welchen Secure-Switches und/oder Teilnehmern ist 
eine Authentif izierung notwendig und welche dieser Gerate 
20 mussen gemeinsame Geheimnisse besitzen oder auch wo werden 

welche Zertifikate bei einer zertif ikatsbasierten Authen- 
tifizierung benotigt und/oder 

- welche Sicherheitsregeln sind fur welche Verbindungen 
einzusetzen. 

25 

Beispielsweise konnen Verbindungen von einem Programmiergerat 
zu einem Biirorechner im Btironetz ohne Sicherung betrieben 
werden, das heifit die Daten werden vom Secure-Switch durch- 
geleitet, wahrend Verbindungen von einem Programmiergerat zu 
30 einer Automatisierungszelle iiber einen weiteren Secure-Switch 
zu sichern sind, das heiflt ein Tunnel zwischen den beiden 
Secure-Switches aufzubauen ist. 

Die Verwendung des Layer 3 (Network-Layer) des ISO-OSI 7- 
35 Schichten-Modells als Basis fttr das Tunnelprotokoll bietet 
den Vorteil der Kompatibilitat mit der in Automatisierungs- 
netzen vorhandenen Infrastruktur . Damit konnen auch Ebene-2- 
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Pakete, wie sie in der Automatisierungstechnik zum Teil vor- 
kommen, getunnelt werden. 

Besonders vorteilhaft bietet sich die Realisierung eines 
5 Tunnelendpunkts durch einen Layer-3-Port mit IPsec-Protokoll 
eines Secure-Switches an, der als Ethernet-Switch ausgebildet 
ist. Damit wird ein aulierhalb der Automatisierungstechnik 
bereits weit verbreitetes und erprobtes Protokoll verwendet. 
Im Falle von IPsec als Basis fur das Tunnelprotokoll konnen 
10 Personal Computer mit iiblichen Betriebssystemen als Tunnel- 
endpunkt arbeiten. 



Prinzipiell konnte als Secure-Switch auch ein Layer 4-Switch 
eingesetzt werden, der einen Tunnelendpunkt mit einem Layer 

15 4-Protokoll realisiert, beispielsweise auf der Basis von SSL, 
Kerberos oder SSH anstelle des IPsec-Protokolls . Naturlich 
miissen auch hier zur Ubertragung durch den Tunnel Ethernet- 
Pakete zuvor in IP-Pakete eingepackt werden, beispielsweise 
mit EtherIP, ehe sie durch das Security Protokoll, in diesem 

20 Fall SSL, Kerberos oder SSH, geschickt werden. 

Wenn der Secure-Switch zumindest einen Port besitzt, der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tunnel- 
endpunkts geeignet ist, kann Verdrahtungsaufwand und Platzbe- 

25 darf eingespart werden. Dabei werden durch das Konzept des 
Secure-Switches keine besonderen Security-Anf orderungen an 
den WLAN-Endpunkt gestellt. Beispielsweise ist keine WEP 
(wired equivalent privacy) -Sicherheitsarchitektur fur den 
WLAN erforderlich, die eine Datenverschlusselung und evtl. 

30 eine Authentif ikation eines Teilnehmergerats gegenuber dem 
WLAN-Endpunkt ermoglicht . Selbstverstandlich konnen vorhan- 
dene Sicherheitsmechanismen im WLAN-Endpunkt, beispielsweise 
MAC-Adressenbeschrankungen, weiterhin beibehalten werden. 
Durch die Verwendung eines Tunnels kann der WLAN-Endpunkt nun 

35 aber iiber sichere Kommunikationswege konfiguriert werden. Als 
Beispiel sei die Einstellung zulassiger MAC-Adressen im WLAN- 
Endpunkt genannt. Das Tunnelende befindet sich vorteilhaft 
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zwischen dem WLAN-Endpunkt und der zentralen Switch-Matrix 
des Secure-Switches. 

In vorteilhafter Weise wird die konstruktive Ausgestaltung 
5 des Switches derart gewahlt, dass er fur den Einsatz in einem 
Automatisierungssystem geeignet ist. Je nach Einsatzfall wird 
er so ausgelegt, dass die erf orderliche Schutzklasse, bei- 
spielsweise Staub-, Wasser- oder Explosionsschutz, eingehal- 
ten wird. Bei geeigneter Wahl der Bauform ist eine Hutschie- 
10 nen- oder Schrankmontage mdglich. Vorteilhaft ist eine Strom- 
versorgung mit geringer Spannung, beispielsweise 24 V. 

Wenn ein zur Realisierung eines Tunnelendpunkts geeigneter 
Port von anderen Ports des Secure-Switches durch eine Mar- 
is kierung unterscheidbar ist, so hat dies den Vorteil, dass die 
Verkabelung vereinfacht und Verkabelungsf ehler reduziert 
werden. 

Das Sicherheitsgefiihl eines Anwenders wird erhoht, wenn der 
20 Zustand durch eine visuell erkennbare Markierung angezeigt 

wird. Erlaubt ein Port eines Secure-Switches die Ubertragung 
von sicheren und unsicheren Telegrammen, so kann dieser mit 
einer umschaltbaren Markierung gekennzeichnet werden. 

25 Eine Realisierungsmoglichkeit ist beispielsweise eine farb- 
lich umschaltbare Leuchtdiode, die, wenn in der augenblick- 
lichen Konf iguration nur gesicherte Ubertragung erfolgen 
kann, grun leuchtet, in einem anderen Fall, wenn in der au- 
genblicklichen Konf iguration gesicherte und ungesicherte 

30 Obertragung erfolgen kann, gelb leuchtet, und bei ausschlieB- 
lich ungesicherter Ubertragung auf rot schaltet. Neben der 
Konf igurationsanzeige kann auch eine dynamische Verkehrsan- 
zeige vorteilhaft sein, die, urn die Sichtbarkeit zu ver- 
bessern, mit geeigneter Veriangerung der Anzeigedauer arbei- 

35 tet. Beispielsweise kann jedes ungesichert ubertragene Paket 
durch eine kurz gelb leuchtende Leuchtdiode und jedes gesi- 
chert ubertragene Paket durch eine kurz grun leuchtende 
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Leuchtdiode angezeigt werden. Bei Mischiibertragung ergibt 
sich daraus ein Flackern der Leuchtdiode. Fur das Netzwerkma- 
nagement ist es zusatzlich vorteilhaft, wenn die Anzeige iiber 
den Sicherheitszustand des Ports automatisch, beispielsweise 
5 iiber SNMP-Protokoll, abfragbar ist, 

Anhand der Zeichnungen, in denen ein Ausfuhrungsbeispiel der 
Erfindung dargestellt ist, werden im Folgenden die Erfindung 
sowie Ausgestaltungen und Vorteile naher erlautert. 

10 

Es zeigen: 

Figur 1 ein Blockschaltbild eines Automatisierungsnetzes 
und 

15 ■ 

Figur 2 ein Blockschaltbild eines Secure-Switches. 

In Figur 1 ist der prinzipielle Aufbau eines Automatisie- 
rungsnetzes 1 dargestellt. Gezeigt sind im Wesentlichen die 

20 an der Kommunikation teilnehmenden Gerate, haufig als Teil- 
nehmer bezeichnet, und dazu erforderliche physikalische Ver- 
bindungen. Weitere Teile des Automatisierungssystems in einer 
prozesstechnischen Anlage sind der Obersichtlichkeit wegen 
nicht dargestellt. Das Automatisierungsnetz 1 ist in dieser 

25 Darstellung unterteilt in ein Buronetz 2 und ein Produktions- 
netz 3. Diese Darstellung wurde in Anlehnung an die bisherige 
Situation gewahlt, in welcher Buronetz und Produktionsnetz 
voneinander getrennt ausgebildet und iiber ein Gateway mitein- 
ander verbunden waren. Ober das Buronetz eingetragene Hacker- 

30 angriffe konnten daher nur schwer in das Produktionsnetz ge- 
langen. In dem gezeigten Ausfuhrungsbeispiel sind Buronetz 2 
und Produktionsnetz 3 iiber eine Leitung 4 direkt miteinander 
verbunden und damit quasi verschmolzen. Die Datenubertragung 
erfolgt in beiden Netzen beispielsweise mit Ethernet TCP/IP. 

35 Im Biironetz 2 befinden sich nicht prozessnahe Gerate, z. B. 
ein Server 5 f Buro PCs 6 r 1, 8 und 9, ein Bedien- und Beob- 
achtungsgerat 10 und Programmiergerat 11, die zum Teil einer 
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zentralen Leitebene der herkommlichen Struktur zugeordnet 
werden konnen. Prozessnahe Gerate, z. B. ein Automatisie- 
rungsgerat 12 , ein Messumformer 13, ein Bedien- und Beobach- 
tungsgerat 14 und ein Programmiergerat 15 sind in dem Pro- 
5 duktionsnetz 3 angeordnet. Dem Bedien- und Beobachtungsgerat 
10 sowie dem Programmiergerat 11 ist ein Secure-Switch 16 
vorgeschaltet, der mit einem Secure-Port 17 , das heifct einem 
Port f der zur Realisierung eines Tunnelendpunkts geeignet 
ist, an die Netzleitung 4 angeschlossen ist. Die Gerate 10 

10 und 11 sind an Ports 18 bzw. 19 des Secure-Switches 16 

angeschlossen, die keine derartige Sicherheitseinrichtung 
aufweisen miissen. Im Produktionsnetz 3 sind die Gerate 12, 13 
und 14 in einem Teilnetz 20 angeordnet und dazu mit Ports 21, 
22 bzw. 23 eines Secure-Switches 24 verbunden. Ein Secure- 

15 Port 25 des Secure-Switches 24 ist an die Verbindungsleitung 
4 des Automatisierungsnetzes 1 angeschlossen. Ein Secure- 
Switch 26 mit einem Port 27 und einem Secure-Port 28, der mit 
dem Programmiergerat 15 bzw. der Verbindungsleitung 4 verbun- 
den ist, ist dem Programmiergerat 15 vorgeschaltet. Zur Si- 

20 cherung der Datenubertragung zwischen dem Programmiergerat 

15, dem Automatisierungsgerat 12, dem Messumformer 13 und dem 
Bedien- und Beobachtungsgerat 14 ist zwischen dem Secure- 
Switch 24 und dem Secure-Switch 26 ein paarweiser Tunnel 29 
eingerichtet . Dieser Tunnel ist mit einem symmetrischen Ver- 

25 schliisselungsverf ahren realisiert, in welchern beide Secure- 
Switches 24 und 26 iiber einen geheimen Schlussel verfugen. 
Ein globaler Tunnel 30 verbindet die Secure-Switches 24, 26 
und 16 miteinander, die iiber ein gemeinsames Geheimnis zur 
Ver- und Entschliisselung der Telegramme verfugen. Die Tunnel 

30 29 und 30 sind lediglich zur besseren Verdeutlichung in Figur 
1 getrennt von der Verbindungsleitung 4 dargestellt. Selbst- 
verstandlich werden durch Tunnel iibertragene Telegramme iiber 
die Verbindungsleitung 4 ubertragen. Der Messumformer 13 ist 
ein vergleichsweise einfaches Gerat rait geringer Rechenleis- 

35 tung und daher nicht selbst in der Lage, einen Tunnelendpunkt 
zu realisieren. Fur dieses Gerat sowie fur die beiden weite- 
ren, in dem Teilnetz 20 befindlichen Gerate 12 und 14 bildet 
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der Secure-Switch 24 einen Stellvertreter zur Tunnelendpunkt - 
realisierung. In entsprechender Weise ubernehmen auch die 
Secure-Switches 16 und 26 eine Stellvertreterf unktion. Die 
Secure-Switches 16, 24 und 26 sind Layer-3-Switches, die zur 
5 Realisierung der Tunnelendpunkte das IPsec-Protokoll verwen- 
den. 

Zur Unterscheidung von den Ports 18, 19, 21, 22, 23 und 27, 
die wie ubliche Ports eines Switches nicht in der Lage sind, 
10 einen Tunnelendpunkt zu realisieren, sind die Ports 17, 25 
und 28 der Secure-Switches 16, 24 bzw. 26 mit einer farbli- 
chen Markierung, im gezeigten Ausfiihrungsbeispiel mit einer 
schwarzen Markierung, versehen. 

15 Alternativ zu dem dargestellten Ausfiihrungsbeispiel des Au- 
tomatisierungsnetzes 1 konnte der Switch 16 entfallen, wenn 
das Bedien- und Beobachtungsgerat 10 sowie das Progrararnier- 
gerat 11 selbst in der Lage waren, einen Tunnelendpunkt zu 
realisieren. In diesem Fall waren diese Gerate direkt an die 

20 Verbindungsleitung 4 angeschlossen und ein globaler Tunnel 
hatte jeweils einen Endpunkt beim Bedien- und Beobachtungs- 
gerat 10, beim Prograramiergerat 11 sowie in gleicher Form, 
wie anhand Figur 1 zuvor beschrieben, bei den Secure-Switches 
24 und 26. Diese Variante hatte jedoch den Nachteil, dass die 

25 Ressourcen zur Realisierung eines Tunnelendpunkts in den bei- 
den Geraten 10 und 11 benotigt wurden, so dass fur ihre ei- 
gentlichen Funktionen der Automatisierungstechnik geringere 
Kapazitaten zur Verfiigung stunden. Das gemeinsame Geheimnis 
miisste dann bei alien Tunnelendpunkten, das heiftt in den Ge- 

30 raten 10 und 11 sowie in den Secure-Switches 24 und 26 gehal- 
ten werden. 

Durch die Verwendung des Switches 24 im Teilnetz 20 sind 
samtliche Verbindungen der Netzwerkteilnehmer, hier des Auto- 
35 matisierungsgerats 12, des Messumformers 13 und des Bedien- 
und Beobachtungsgerats 14 durch Punkt-zu-Punkt -Verbindungen 
realisiert. Eine derartige Struktur wird haufig als geschal- 
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tetes Netzwerk, insbesondere als Switched-Ethernet, bezeich- 
net. Zusammen mit anderen Maflnahmen erlaubt es diese f die in 
einer Automatisierungsumgebung geforderten Echtzeitbedingun- 
gen zu erftillen. 

5 

Das Programmiergerat 11 dient im Automatisierungsnetz 1 als 
Projektierungstool, mit welchem neben der in Automatisie- 
rungsnetzen ublichen Projektierung bei der Verwendung von 
Secure-Switches der Projekteur zusatzlich festlegt, in wel- 

10 chem Netz sich die Secure-Switches befinden und welche da- 

hinterliegenden Teilnehmer durch ihn geschiitzt werden sollen. 
Diese Eingaben sind fur einen Automatisierungstechniker in 
der Regel leicht vorzunehmen. Beispielsweise wird vor alle 
Gerate, die zu einer Produktionszelle gehoren, wie im ge- 

15 zeigten Ausfiihrungsbeispiel vor die Gerate 12, 13 und 14, ein 
Secure-Switch, hier der Secure-Switch 24, gesetzt. Mit dem 
Projektierungstool werden die Kommunikationspartner sowie 
deren Adressen, z. B. IP-Adressen, Netzwerkverbindungen, uber 
die diese Kommunikationspartner miteinander verbunden sind, 

20 Automatisierungsfunktionen und' deren Kommunikation unterein- 
ander sowie die Position der Secure-Switches im Netzwerk 
festgelegt. Anhand dieser Festlegungen konnen fur den Aufbau 
der Tunnel beispielsweise folgende Parameter automatisch er- 
mittelt werden: Adressen der einzelnen Tunnelendpunkte, mit 

25 welchen anderen Tunnelendpunkten muss ein bestimmter Tunnel- 
endpunkt Tunnel aufbauen, Erzeugung der Geheimnisse und/oder 
Zertif ikate. 

Durch Eigenschaften der Secure-Switches, Anwendungsprof ile 
30 oder durch projektglobale Einstellungen beim Anwender kann 
festgelegt werden, welche Ports von Switches sicher sind, 
welches Tunnelprotokoll zu verwenden ist und/oder welche 
Sicherheitseinstellungen verwendet werden, z. B. Verschlusse- 
lungsmethode, Integritatsschutzmethode, Authentif izierungs- 
35 methode, Giiltigkeitsdauer der Schliissel usw. 



WO 2005/006705 



PCT/EP2004/007594 



15 

Figur 2 zeigt den prinzipiellen Aufbau eines Secure-Switches 
40. Der Aufbau des Secure-Switches 40 ist ahnlich dem eines 
herkommlichen, so genannten manageable Switches, der uber 
eine eigene IP-Adresse Oder uber eine zusatzliche, in Figur 2 
5 der Obersichtlichkeit wegen nicht dargestellte serielle 

Schnittstelle ansprechbar ist. Ports 41, 42, 43 und 44 sind 
"normale" Ports und in der bei herkommlichen Switches iibli- 
chen Weise ausgestaltet . Der Port 4 5 ist ein sicherer Port, 
ein so genannter Secure-Port, der in der Lage ist, einen Tun- 

10 nelendpunkt zur gesicherten Ubertragung von Daten zu einem 
anderen Tunnelendpunkt zu realisieren. Dazu wurde er gegen- 
uber einem herkommlichen Port um einen so genannten Secure 
Channel Converter 46 erganzt. Ein weiterer Secure Channel 
Converter 47 befindet sich zwischen einer Switch-Matrix 48 

15 und einem WLAN-Endpunkt 49, der die Funktionen eines WLAN- 
Access-Point erflillt und mit welchem uber eine Antenne 50 
drahtlose Kommunikation mit einem Tunnelprotokoll durchge- 
fuhrt werden kann. Bezuglich der Sicherheitsfunktionen un- 
terscheidet sich dieser Port fur drahtlose Kommunikation 

20 nicht von dem drahtgebundenen Secure-Port 45, so dass es 
genugt, die Funktionen des Secure-Switches 4 0 anhand des 
Secure-Ports 45 zu erlautern. Alle Telegramme, die aus dem 
Secure-Port 45 gesendet werden, durchlaufen den Secure 
Channel Converter 46. Ein Ethernet-Paket wird je nach Erfor- 

25 dernis gesichert, z. B. in ein IP-Paket iiberfuhrt und mit dem 
IPsec-Protokoll gesichert. Danach ist das Telegramm wie ein 
normales Paket des Tunnelprotokolls aufgebaut und kann uber 
eine IP-Inf rastruktur, die beispielsweise auch Router ent- 
halt, transport iert werden. Die Sicherungsmechanismen verhin- 

30 dern unerlaubte Veranderungen und unerlaubtes Mithoren des 
Tunnelpakets. Im Empf angsbetrieb wird das Paket nach dem 
Empfang zunachst beispielsweise auf folgende Eigenschaf ten 
gepruft : 



35 



ist die maximal zulassige Empf angsdatenrate uberschritten 
(DoS-Schutz) , 
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- ist das empfangene Telegramm vom Typ des Tunnelprotokolls, 
bei IPsec z. B. AH oder ESP, 

- stammt das Paket von einem berechtigten Sender (Authenti- 
fizierung) , 

5 - ist das Paket unverandert (Integritat) und/oder 

- wurde das Paket bereits empfangen (Replay-Schutz) ? 

FSllt eine dieser Priifungen negativ aus, so wird das Paket 
verworfen und gegebenenf alls ein Logging-Eintrag flir eine 
10 Systemanalyse vorgenommen. 

Werden diese Priifungen erfolgreich absolviert, so wird das 
Paket in entpackter Form, das heiftt in der ursprunglich durch 
den Teilnehmer gesendeten Form, an den Empfanger weitergelei- 

15 tet. Die E'ntpackung kann gegebenenf alls eine Entschlusselung 
einschlieften. Im Secure-Switch kann das entpackte Paket zuvor 
optional weiteren Priifungen im Sinne iiblicher Paketfilter un- 
terzogen werden. Dadurch ist es moglich, einen feiner abge- 
stuften Zugrif f sschutz zu realisieren. Dieser basiert bei- 

20 spielsweise auf IP-Adressen, denen hier vertraut werden kann, 
da die Pakete iiber einen sicheren Tunnel angekommen sind. 
Nach den Priifungen und dem Entpacken im Security-Channel- 
Konverter 4 6 wird das Paket in herkommlicher Weise iiber die 
Switch-Matrix 48 an einen der Switch-Ports 41... 44 weiterge- 

25 leitet und so an den Empf angsteilnehmer iibergeben. 

Die Realisierung der Stellvertreterf unktion durch einen 
Secure-Switch hat gegenuber der Verwendung eines bekannten 
VPN-Routers beispielsweise den Vorteil, dass er fur den 

30 nachtraglichen Einbau in vorhandene flache Netze, wie sie in 
der Automatisierungstechnik haufiger anzutreffen sind, geeig- 
net ist. Ein VPN-Router wurde namlich eine Bildung von Sub- 
netzen erfofdern, weiterhin eine spezielle Konf iguration auf 
den Teilnehmern, die sicher iiber den VPN-Tunnel kommunizieren 

35 wollen, da die IP-Adresse des VPN-Routers als Gateway bei 

alien Kommunikationspartnern eingetragen werden muss, und der 
VPN-Router konnte nur IP-Pakete tunneln. Ebene-2-Pakete, wie 
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sie in der Automatisierungstechnik zum Teil vorkoiranen, wiirden 
durch den VPN-Router daher nicht getunnelt und nach Einfuhren 
von VPN-Routern im Automatisierungsnetz wiirden nicht mehr 
alle Protokolle funktionieren. Dagegen kann der beschriebene 
5 Secure-Switch 4 0 nahezu ruckwirkungsf rei in ein bestehendes 
Netzwerk integriert werden. Er arbeitet wie ein herkommlicher 
Switch, jedoch mit einem oder mehreren sicheren Ports. Damit 
benotigt er keine oder - je nach Realisierung - eine IP-Ad- 
resse, keine Subnetz-Bildung, keine Neukonf iguration der an 
10 der Kommunikation beteiligten Endgerate und der gesamte Ver- 
kehr ab Ebene 2 des 7-Schichten-Modells kann getunnelt wer- 
den. 
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Patentanspruche 

1. Vorrichtung zur Sicherung eines Datenzugrif f s eines ersten 
Teilnehmers (11) oder mehrerer Teilnehmer (12... 14), die in 

5 einem ersten Teilnetz (20) eines Automatisierungsnetzes (1) 
angeordnet sind, auf einen zweiten Teilnehmer (15) oder meh- 
rere Teilnehmer (10, 11) , die in einem zweiten Teilnetz des 
Automatisierungsnetzes (1) angeordnet sind, mit zumindest ei- 
nem so genannten Secure-Switch (16, 24, 26), der dem ersten 

10 Teilnehmer (11) bzw. den Teilnehmern (12... 14) des ersten 
Teilnetzes (20) vorgeschaltet ist, zum Aufbau eines so ge- 
nannten Tunnels (29, 30) zu dem zweiten Teilnehmer (15) bzw. 
den Teilnehmern (10, 11) des zweiten Teilnetzes, durch wel- 
chen Dateh uber ein unsicheres Netzwerk gesichert ubertragbar 

15 sind, wobei der Secure-Switch (16, 24, 26) den Tunnel stell- 
vertretend fur den ersten Teilnehmer (11) bzw. stellvertre- 
tend fur die Teilnehmer (12... 14) des ersten Teilnetzes (20) 
aufbaut und den Tunnel diesem bzw. diesen anhand der 
jeweiligen Teilnehmeradresse zuordnet. 

20 

2. Vorrichtung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass ein Projektierungstool (11) vorgese- 
hen ist zur Projektierung des Automatisierungsnetzwerks (1), 
durch welches Parameterdaten des Secure-Switches (16, 24, 26) 

25 automatisch erzeugbar und zum Secure-Switch ubertragbar sind. 

3. Vorrichtung nach Anspruch 1 oder 2, dadurch g e - 
kennzeichnet, dass der Secure-Switch (16, 24, 28) 
als Ethernet-Switch und zumindest ein Port (17, 25 , 28) als 

30 Layer-3-Port zur Realisierung eines Tunnelendpunkts ausgebil- 
det ist. 

4. Vorrichtung nach Anspruch 3, dadurch gekenn- 
zeichnet, dass zur Realisierung des Tunnelendpunkts 

35 das IPsec-Protokoll anwendbar ist. 
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5. Vorrichtung nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, dass der Secure- 
Switch (40) zumindest einen Port (47, 49, 50) besitzt der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tun- 

5 nelendpunkts geeignet ist. 

6. Vorrichtung nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass der Secure- 
Switch konstruktiv fur den Einsatz in einem Automat isierungs- 

10 system geeignet ist. 

7. Vorrichtung nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass ein zur 
Realisierung eines Tunnelendpunkts geeigneter Port (45) von 

15 anderen Ports (41... 44) des Secure-Switches (40) durch eine 
Markierung unterscheidbar ist. 

8. Vorrichtung nach Anspruch 7, dadurch gekenn- 
zeichnet , dass die Markierung umschaltbar ist. 

20 

9. Koppelgerat, so genannter Secure-Switch, zur Sicherung ei- 
nes Datenzugrif f s eines ersten Teilnehmers oder mehrerer 
Teilnehmer, die in einem ersten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind, auf einen zweiten Teilnehmer 

25 oder mehrere Teilnehmer, die in einem zweiten Teilnetz des 
Automatisierungsnetzes angeordnet sind, wobei der Secure- 
Switch dem ersten Teilnehmer bzw. den Teilnehmern des ersten 
Teilnetzes vorschaltbar ist und eine Einrichtung (46) , einen 
so genannten Secure Channel Converter, aufweist zum Aufbau 

30 eines so genannten Tunnels zu dem zweiten Teilnehmer bzw. den 
TeilQehmem des zweiten Teilnetzes, durch welchen Daten tiber 
ein unsicheres Netzwerk gesichert ubertragbar sind, wobei der 
Tunnel stellvertretend fur den ersten Teilnehmer bzw. die 
Teilnehmer des ersten Teilnetzes aufbaubar ist und diesem 

35 bzw. diesen anhand der jeweiligen Teilnehmeradresse zuorden- 
bar ist. 
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